Wie Betrüger nach Daten fischen
Getarnt als Nachricht von der Bankberaterin oder dem Online-Bezahlservice landen täglich Phishing-Mails im Posteingang von Verbrauchern. Wer genauer hinsieht, kann die Abzocke oft erkennen, bevor ein Schaden entstanden ist.
(dpa) Gefälschte Rechnungen, Bank- oder Behördenschreiben: Viele Internetnutzer hatten schon mal eine suspekte E-Mail in ihrem Posteingang. Dahinter verbirgt sich oft eine sogenannte Phishing-Attacke. Kriminelle versuchen mit dieser Online-Betrugsmasche, an sensible Daten zu gelangen, um damit zum Beispiel im Namen des Opfers Bestellungen aufzugeben, dessen Konto zu plündern oder andere Straftaten zu begehen.
Die meisten Phishing-Versuche laufen über E-Mail, SMS oder Nachrichten in sozialen Netzwerken. Aber es gebe auch Versuche per Telefonanruf und sogar per Post, sagt Ralf Scherfling von der Verbraucherzentrale Nordrhein-Westfalen. Kriminelle besorgten sich im Vorfeld einen großen Datensatz und testeten ihre Masche meist wahllos über diesen Verteiler. In den Mails behaupteten sie etwa, dass es um die Einführung einer neuen Sicherheitstechnik oder um angebliche Unstimmigkeiten im Kundenkonto gehe, sagt Scherfling.
In den meisten Fällen solle der Empfänger auf einen Link klicken und auf einer Internetseite seine Daten eingeben. Oder er werde aufgefordert, einen Datei-Anhang zu öffnen, der Schadsoftware enthält. Bei einer weiteren Variante werde in den Nachrichten gedroht, unliebsame Tatsachen oder Behauptungen öffentlich zu machen, wenn eine geforderte Zahlung nicht geleistet werde. „Einige Betrüger nutzen auch gegenwärtige Themen, wie zum Beispiel die Datenschutzgrundverordnung, Corona oder aktuelle Urteile, um die Glaubhaftigkeit der E-Mail zu erhöhen“, warnt Scherfling.
Es gebe auch zielgerichtete Attacken, so Scherfling. Das Vorgehen nennt sich Spear-Phishing (Spear ist die englische Bezeichnung für Speer). In einer aktuellen Untersuchung der Forschergruppe „Security, Usability, Society“(Secuso) am Karlsruhe Institute of Technology (KIT) zu Phishing-Kampagnen wird der gezielte Angriff auf Einzelpersonen oder Unternehmen näher erläutert. Die Betrüger sammelten demnach zunächst Informationen über die Opfer, entweder über die im Internet frei verfügbaren Daten oder über Institutionen wie Dienstleister, Kooperationspartner oder Kunden – zum Teil auch telefonisch. Auf Basis dieser Informationen würden dann Phishing-Nachrichten, vermeintlich von einem Kunden oder Dienstleister verfasst. Diese Mails seien deutlich schwerer als Betrug zu erkennen.
Untersuchungsleiterin Professorin Melanie Volkamer hat mit ihrer Forschungsgruppe einen Leitfaden erstellt, wie Nutzer Phishing-Nachrichten erkennen können. Demnach sollte der Empfänger die E-Mails zunächst auf Plausibilität prüfen: Passt der Absender zum Inhalt der Nachricht? Werden sensible Nachrichten
abgefragt? Ist die Anrede falsch oder fehlerhaft? „Je mehr solcher Fragen sich mit „ja“beantworten lassen, desto wahrscheinlicher handelt es sich um eine betrügerische Nachricht“, sagt Volkamer. Oft sei schon am Aufbau der Nachricht zu erkennen, ob es sich um einen Phishing-Versuch handelt. Nach der Anrede und der Angabe des Grundes für die Mail werde der Nutzer aufgefordert zu handeln. Oft werde Zeitdruck aufgebaut, beschreibt Scherfling. Das Opfer werde gedrängt, auf einen Link zu klicken oder einen Anhang zu öffnen.
Selbst wenn Inhalt und Absender plausibel erschienen, solle der Empfänger die Links in der Nachricht überprüfen, sagt Volkamer. Welche Webadresse versteckt sich tatsächlich hinter den Links? Auf dem Rechner können Nutzer diese sehen, wenn sie mit dem Mauszeiger über den Link fahren, ohne auf diesen zu klicken. Viele Smartphones öffneten die Webseite allerdings, wenn der
Link länger gedrückt bleibe. „Gerade wenn die Domain aus Zahlen, einer IP-Adresse, besteht, handelt es sich höchstwahrscheinlich um eine gefährliche Webadresse“, warnt Volkamer.
Eine weitere Sicherheitsregel des Leitfadens betrifft die E-Mail-Anhänge. Insbesondere direkt ausführbare Dateiformate wie „.exe“, „.bat“oder „.cmd“seien besonders gefährlich. Auch bei Microsoft Office-Dateiformaten wie .docx, .xlsx oder .pptx, die sogenannte Makros enthalten können, sollten Nutzer vorsichtig sein. Ein Makro ist eine Kette von Befehlen im Programm, die Funktionen automatisieren sollen – eine Art Unterprogramm. „Man sollte einen solchen Anhang nur öffnen, wenn man ihn genauso von dem Absender erwartet“, rät Volkamer. Gegebenenfalls sollte der Empfänger den Absender – am besten per Telefon – kontaktieren.
Wer eine Phishing-Mail enttarnt hat, sollte sie löschen, so Scherfling. Über die sozialen Medien könnten Nutzer auch andere warnen. Wer dagegen in die Falle getappt ist, sollte seine gesammelten Passwörter und Sicherheitsfragen ändern und die Nachricht unbedingt behalten. Sie sei ein Beweismittel. Dann gelte es, den oder die jeweiligen Dienstanbieter zu informieren und Strafanzeige zu stellen, so der Verbraucherschützer.
Das Bundeskriminalamt (BKA) rät Opfern von Internet-Straftaten, Strafanzeige zu erstatten und alle Informationen an die Polizei weiterzugeben. Um Internetkriminalität wirksam bekämpfen zu können, brauche das BKA ein aktuelles und klares Lagebild. Dies gebe es jedoch nur, wenn „die Sicherheitsbehörden in Fällen von Cybercrime möglichst frühzeitig eingebunden werden“, erklärt das BKA. Dennoch gelte, dass sich Nutzer in vielen Fällen durch vorbeugende Maßnahmen und ein angemessenes Risikobewusstsein vor Straftaten im Internet schützen könnten. Dazu gehöre neben umsichtigem Verhalten und der genauen Prüfung verdächtiger Nachrichten auch Computer und mobile Geräte immer auf dem neuesten Stand zu halten, rät Scherfling. Am Rechner sollten insbesondere Virenschutzprogramm, Betriebssystem und der Browser regelmäßig aktualisiert werden. https://secuso.aifb.kit.edu/642.php